Ga naar content
Wij zijn de #1 Microsoft partner
#1 Microsoft partner van NL
Console Trainingen Werken bij
language_nl language_gb
Home Security Kennis API’s: het snelst groeiende aanvalsoppervlak en het slechtst in beeld

API’s: het snelst groeiende aanvalsoppervlak en het slechtst in beeld

Kennis MxDR (Managed eXtended Detection and Response) Cyber Defense Center (CDC)
Dennis de Hoog
16-6-2026

  • API's zijn het snel opkomende aanvalsoppervlak van moderne organisaties en het deel dat het slechtst in beeld is. 

  • In het API-domein zien we steeds minder technische exploits en steeds meer misbruik van geldige toegang. 99% van de waargenomen API-aanvallen kwam in de afgelopen 12 maanden van geauthenticeerde bronnen (Salt Security, 2026). 

  • Traditionele beveiliging controleert of iemand binnen mag, niet wat hij vervolgens vraagt. Daar zit de blinde vlek waar API Protect op aangrijpt. 

  • API Protect, onderdeel van onze MxDR-dienst, vult deze laag in en wordt 24/7 opgevolgd door onze security-analisten. 

Geldige credentials, ongeldige bedoelingen 

Wat we in onderzoeken steeds vaker zien, is dat binnenkomen niet meer het probleem is. In het API-domein zien we steeds minder technische exploits en steeds meer misbruik van geldige toegang. De aanvaller heeft geldige inloggegevens, gekocht, gephisht of overgenomen van een gecompromitteerde dienst. Wat daarna gebeurt, is waar het misgaat: een API wordt tien keer per seconde bevraagd, data wordt opgehaald waar de rol van de gebruiker geen recht op heeft en endpoints worden aangesproken die nergens gedocumenteerd staan. 

Volgens Salt Labs komt 99% van de waargenomen API-aanvalspogingen vandaag van een geauthenticeerde bron, een gebruiker of dienst die met geldige credentials werkt, maar zonder de menselijke oordeelsvorming of begrenzing die je daarbij zou verwachten. Dat verschuift waar je beveiliging moet aangrijpen: van de toegangspoort naar het gedrag erbinnen. Het draait dus niet meer alleen om wie toegang krijgt, maar vooral om welk gedrag daarna plaatsvindt.

Hoe groot is het probleem werkelijk 

API's zijn explosief gegroeid. 67% van de organisaties zag het aantal API's in een jaar met meer dan 50% toenemen. Tegelijk verschoof het aanvalsbeeld mee: 43% van de actief misbruikte kwetsbaarheden op de CISA Known Exploited Vulnerabilities-lijst was in 2025 API-gerelateerd. 

Wat API-aanvallen onderscheidt van klassieke exploits: de drempel is laag. 97% van de API-kwetsbaarheden is exploiteerbaar met een enkele request. Geen geavanceerde exploit-chains, geen zero-days. Een bericht naar het juiste endpoint is vaak genoeg. Dat maakt API-misbruik schaalbaar op een manier die traditionele aanvalsvectoren niet zijn. 

De opkomst van AI-agents vergroot het probleem nog verder. Eenderde van alle in 2025 gepubliceerde AI-kwetsbaarheden was in de kern een API-kwetsbaarheid (Wallarm, 2026). Agents werken per definitie met geldige credentials, zonder rate limits of menselijk toezicht. Wie zijn AI-stack wil beveiligen, beveiligt dus zijn API's. 

Waarom traditionele beveiliging dit niet ziet 

In de praktijk komen drie blinde vlekken steeds terug. 

  • Inventarisatie ontbreekt. Vrijwel elke organisatie kent een deel van zijn eigen API-landschap niet en kan dus ook niet aantonen dat het beheerst is. Vergeten endpoints, koppelingen die snel zijn opgezet, API's die met overnames mee zijn gekomen. Wat niet in de documentatie staat, staat ook niet op het dashboard. En wat je niet kent, kun je niet beschermen. 
     
  • Controles zitten op het verkeerde niveau. Een Web Application Firewall of API-gateway controleert technische geldigheid: syntax, tokens, rate limits. Wat hij niet beoordeelt, is of het gedrag logisch is. Een verzoek kan technisch perfect zijn en tegelijkertijd misbruik. Dat vangt geen regelset; dat vangt gedragsanalyse. 
     
  • Signalen staan los van elkaar. API-alerts landen vaak in een aparte console, los van endpoint-, identity- en cloud-signalen. Voor een analist betekent dat ruis zonder context. In een wereld waarin een aanvaller in dezelfde sessie van een gephist account naar een data-exfiltrerende API-call gaat, is die context het verschil tussen detectie en gemiste indicator. 

Wat een volwassen aanpak inhoudt 

Er is geen tool die dit in een keer oplost. Wat wel werkt, is een aanpak die op vier lagen tegelijk grijpt. 

  • Continue discovery. Inventarisatie is geen audit, het is een lopend proces. API's ontstaan dagelijks. Ze moeten dagelijks ontdekt worden, inclusief shadow-endpoints die buiten de officiele gateway om draaien. 
     
  • Posture management. Voor elke koppeling: hoe zit het met authenticatie, datagevoeligheid, blootstelling aan internet, de breedte van toegekende rechten? Prioritering op exploiteerbaarheid en business impact, niet alleen op CVSS-score. 
     
  • Gedragsdetectie op runtime. Anomaliedetectie op parameters, verkeerspatronen en gebruiksgedrag vangt wat een WAF niet ziet. Hier wordt de aanval zichtbaar, niet bij binnenkomst, maar in het patroon dat erop volgt. 
     
  • Integratie in de SOC-workflow. Een API-alert in een silo is een alert die niemand opvolgt. Pas wanneer signalen samenkomen met de bredere telemetrie ontstaat het verhaal dat een analist kan triageren. 

Ook met deze aanpak blijven scenario's bestaan die lastig te ondervangen zijn. Misbruik vanuit vertrouwde integraties in de supply chain, business logic-aanvallen binnen normale gebruikspatronen, en interne actoren met legitieme toegang blijven een gedeelde verantwoordelijkheid tussen ontwikkeling, beheer en security. 

Wat dit betekent voor de aantoonbaarheid onder NIS2 en AVG?

Onder NIS2 valt API-beheer onder de zorgplicht voor technische maatregelen (art. 21). Onder de AVG raakt elk ongedocumenteerd endpoint aan art. 32 en aan de meldplicht datalekken zodra persoonsgegevens via die route lekken. Voor een Compliance Officer betekent dat: zonder continue discovery en posture management is naleving niet aantoonbaar. API Protect levert die bewijsbasis door datagevoeligheid per endpoint te classificeren en de configuratie van elke koppeling te toetsen aan geldende standaarden. 

Hoe API Protect deze aanpak invult 

Voor de technische laag gebruiken we Microsoft Defender for APIs. We hebben dat platform gekozen omdat het runtime-gedrag analyseert in plaats van alleen statische regels toepast en omdat het aansluit op de bredere Defender- en Sentinel-telemetrie die we al verwerken in onze SOC. 

De waarde van API Protect zit niet in het platform alleen, maar in wat onze SOC-analisten ermee doen, 24/7 in samenhang met de bredere telemetrie over jouw omgeving: 

  • Zicht op alle API's in je omgeving, ook de vergeten en ongedocumenteerde koppelingen, met datagevoeligheid per endpoint geclassificeerd. 

  • Beoordeling van hoe veilig elke koppeling is ingesteld: te ruime toegang, ontbrekende authenticatie, onnodige blootstelling aan internet. 

  • Detectie van afwijkend gedrag, 24/7 opgevolgd door onze SOC-analisten, in samenhang met de rest van het signalenbeeld over je omgeving. 

Daarmee wordt API-security geen aparte capability die je er even bij moet doen. Het wordt onderdeel van het bredere detectie- en response-proces dat we al voor je draaien. 

Wat dit betekent voor jouw security-operatie 

API-security is geen project met een einddatum. Het is een capability die meegroeit met je organisatie, met je leveranciersketen en met je tegenstander. De vraag is niet of API’s in scope moeten van je security-operatie. De vraag is hoe snel je ze in beeld krijgt voordat iemand anders dat doet. 

Wie wil weten welke API’s nu al actief zijn in de eigen omgeving en welke daarvan ongedocumenteerd, begint bij feitelijk inzicht. Vraag een API-discovery scan aan. 

Next level beveiliging

Managed eXtended Detection and Response

Cybersecurity als next level beveiliging tegen alle bedreigingen van binnen- en buitenaf.
Lees meer

Veelgestelde vragen

Onze auteur

Dennis de Hoog

Contact me.